Cybereason in Korea, SMEC

Complete Endpoint Protection
Cybereason
EDR + NGAV

Ø 투자자:
Spark Capital, CRV, Lockheed Martin, Softbank,
Wells Fargo
Ø 200개 이상의 레퍼런스
Ø 이스라엘 군의 첩보 부대 (Unit 8200) 출신
Ø 25만대 이상의 엔드포인트에 적용한 여러 고객 사례
Ø 보스턴 본사 | 텔아이브 | 도쿄 | 런던 | 시드니
ABOUT US
- 2

July 6, 2017: One of the largest health, hygiene,
and home products manufacturers announced a
$129 million decline in yearly forecast.
August 16, 2017: The world's largest container
shipping company had a $300 million impact on
Q3 results, after halting worldwide operations.
August 2, 2017: The second largest confectionary
manufacturer in the world lost $150 million in
quarterly sales and had incremental expenses of
$7.1 million from one attack.
August 3, 2017: A company that is home to several
of the world's largest skin care brands delayed $41
million of second-quarter sales, after 10 days of
shipping and production delays .
July 28, 2017: One of the top 5 largest
pharmaceutical companies in the world had
operations and drug production disabled for more
than a month after a cyber attack.
September 7, 2017: One of the three major
consumer credit reporting agencies experienced
a breach, compromising the personal
information of as many as half of all American
adults
July 17, 2017: The world’s 3rd largest shipping
company announced a cyberattack in filing with the
U.S. Securities and Exchange Commission.
Estimated impact is in the hundreds of millions of
dollars.
July 21, 2017: Computer Software company
announced its revenue for Q3 will be down as much
as $20 million from original expectations. In
addition, their stock price has steadily declined sine
the cyber attack.
반복되는 사고들…
- 3

Comprehensive Security: Enterprise Attack Protection
- 4

Cybereason Product 구성
Cybereason EDR
엔드포인트의 메타정보를 수집하여 사이버 공격의 징후를
상관분석 및 머신러닝으로 실시간으로 자동 탐지하고 대응
할 수 있는 사이버 보안 플랫폼.
Cybereason NGAV
알려지지 않은 악성 코드, 알려진 악성 코드,
랜섬웨어, Fileless(PowerShell) 악성 코드 등
모든 종류의 악성 코드를 차단할 수 있는
차세대 안티바이러스
+
Cybereason Services
전문적인 지식과 기술을 가진
보안 분석가의 고객지원(옵션)
- 5
Detection
실시간 자동
위협 탐지
Prevention
악성코드
실행방지
Remediation
위협에 대한
즉각 대응
Investigation
쉽고 능률적인
추적조사
사이버 공격
NGAV에 의한
침입 방지
EDR에 의한
침해 탐지
및 대응
침입 전 침입 후

Cybereason Layer of Protection
1. NGAV Anti-Malware
- 시그니쳐 기반
2. NGAV Anti-Malware
- 머신러닝 기반
3. 동적 행위 분석
- Anti-Ransomware
- Fileless 위협 보호
4. EDR
Pre-Execution Dynamic Post-Infection
Cybereason은 엔드포인트를 보호하기 위해 단계별로 보호방안 제공.
각 단계는 서로 다른 유형의 위협에 대응하며 포괄적인 보안 제공.
한번의 인스톨(단일 에이젼트-사용자모드)로 EDR+NGAV 적용.
- 6

Cybereason EDR
당신은 지금 공격 받고 있습니까?
EDR(Endpoint Detection and Response):엔드포인트 위협 탐지 및 대응

Cybereason EDR 개요
진행중인 공격을 직관적으로 시각화.
대응 시간을 단축
"Cybereason EDR ‘은 공격자가 고객의 네트워크 환경에서
악의적인 활동을 하고 있지 않은가를 항상 모니터링하고
AI 엔진을 통해 정보를 분석하여 실시간으로 사이버 공격을
탐지. 감지 한 후에는 공격 세부 정보를 알기 쉽게 확인 할 수
있는 관리 화면으로 신속하게 전달하여 공격의 전체 상황을
즉시 시각화하고 신속하게 처리 할 수 있는 사이버 보안 플랫폼
(EDR : Endpoint Detection and Response)을 제공.
- 8
가시성의 제약
검증된 분석가의
부족
이벤트 대응의
현실적 어려움
늦은 탐지와 너무
느린 분석 시간
방
안
기업의 현실적 문제점

Cybereason EDR 구조
- 9
Ø 사용자 모드에서 실행되는 센서에 의해 EndPoint 데이터를
항상 수집하여 프로세스, 사용자 장치, 메모리, 레지스트리,
기타에서 일어나는 변화를 기록. 또한 프로세스의 정지, 파일 격리
레지스트리 키 삭제 등 다양한 조치.
Ø 패턴 인식, 머신러닝, 행동 분석 등 다양한 노하우로 구현된
Cybereason의 두뇌, 악의적인 행동을 인식하고 일련의 공격으로
연결되는 것을 "Malop : Malicious Operation”으로 감지..
Ø 공격 세부 정보를 알기 쉽게 확인 할 수 있는 관리
화면으로 공격의 전체 진행상황을 시각화하여 제공하여 분석가가
세부 사항을 신속하게 규명하고 최적의 해결 방안을 고려하게 함.
v Cloud 및 On-premise 방식 모두 지원

Cybereason EDR 특허 기반 인메모리 분석
- 10
80,000
RECORDS PER SECOND
VS.
8,000,000
RECORDS PER SECOND
GEN 2
SECURITY SOLUTIONS
GEN 3
CYBEREASON

Cybereason EDR Built-in 탐지 모델 - 킬체인
- 11
Infiltration
(침입)
공격자가 침투하기 위해 사용하는
알려지거나 알려지지 않은 멀웨어,
멀웨어 툴, Zero-day 익스플로잇 탐지
Privilege
Escalation
(권한상승)
공격을 찾기 위해 권한상승이나 상위
레벨의 접근을 시도하는 유저나
프로세스 행위 조사
C & C
내부 리소스와 외부 공격자의
C&C와의 통신 탐지(DGA…)
Data
Exfiltration
(정보유출)
데이터를 외부로 유출하는 시도나 내부
네트워크에 공격를 가하는 행위 식별
Lateral
Movement
(측면확대)
기존 보안 솔루션이 탐지 하지 못하는
공격자의 거점 확산 및 은밀한 확장 탐지
Ransomware
파일 암호화등의 악성 행위 식별
알려진 멀웨어(TI) & 알려지지
않는 멀웨어 탐지
수십만 데이터 조각 상관
자동 상관 분석
Fileless 멀웨어 공격 탐지
(PowserShell)
행위 기반 분석
오탐 & 과탐 Free
룰등 수동 최적화 불필요
Zero 메인터넌스
차별화

Cybereason EDR 분석엔진(Hunting Engine)
- 12
EndPoint
Facts
Evidence
Suspicions
Malop™
Hunting
Engine(빅데이터)
Malop™ 악성 이벤트 선별
흥미롭거나 변칙적인
Facts 추출
실시간 메타 데이터 수집
(네트워크 접속, 프로세스등)
IP, 도메인등 평판 정보 비교
실시간 다차원 분석
악성 가능성 높은
Evidence 추출(임계치 낮음)
자
동
화

Cybereason EDR 주요 기능
수만 대의 엔드포인트도
실시간 모니터링 가능
기업이 보유한 다양한 엔드포인트에
대해 악성 코드의 감염 및 공격을
탐지하고 범위를 확인하고 정확하게
대응하는 것은 쉬운 일이 아닙니다.
Cybereason EDR은 수만 대의 엔드
포인트 환경을 실시간으로
모니터링하고 공격에 대한 조기
대응을 실현합니다.
Windows, Mac OS, Linux
서버를 포함한 모든 모니터링
보안 대책을 적절히 강구하여 모든 엔드
포인트를 감시하고 그들에 대해 위협을
탐지, 식별, 대응을 즉시 이행할 수 있고,
감염 원인, 경로 등 피해를 정확하게 파악
하는 솔루션 이 요구됩니다.
Cybereason EDR은 다양한 환경을 감시,
공격의 전체 상황을 시각화하고 대응할 수
있는 플랫폼입니다.
모든 엔드포인트의
상태를 알기 쉽게 가시화
사이버 공격의 방법은 점점 교묘 해지고
있으며, 엔드포인트의 상태를 상시 파악
할 수 있는 환경은 현재의 보안 인프라
에서는 찾아보기 어렵습니다.
Cybereason EDR은 공격의 징후를 행동
분석 및 공격 방법 등의 분석을 통하여
진행중인 공격을 직관적으로 시각화하여
신속하게 대응할 수 있습니다.
Cybereason 실시간 공격 탐지 및 대응 플랫폼은 자동화된 탐지, 완벽한 상황 인식 및 공격자 활동에 대한 깊은 이해를 제공.
- 13

Cybereason EDR 강점 및 도입 효과
머신러닝을 활용한 신종 공격 탐지
초당 800 만건의 이상의 빅데이터 분석
군사 보안 수준의 사이버 공격 대응 체계 지원
행동 분석을 통해 알려지지 않은 위협에 대한 대응.
실시간으로 사이버 공격의 전체 상황을 파악.
이스라엘 군의 첩보 부대에서 축적된 노하우를 집약.
진행되는 공격을 직관적으로 시각화
의심스러운 활동을 추출하여 연결되는 일련의 공격 스토리로 시각화.
공격의 근본 원인, 악의적인 활동, 통신, 영향을 받은 기기와 사용자를
시계열로 자동으로 표시하여 운영자의 보안 업무를 줄이고 대응 시간을 단축.Cybereason의 강점
Cybereason 도입 효과
쉬운 배포,
리소스 최소화
공격의 전체 상황을
즉시 확인
시각화된 알기 쉬운
관리 화면
악의적인 행동을 실시간
자동 감지 및 대응
- 14

Cybereason EDR 주요 기능 – Dashboard
공격 단계별 위협 탐지 현황
초기감염 권한상승 탐색 확장 C&C 데이터유출
감염 규모(버블의 크기)
감염 후 경과 시간(버블 색상)
공격 유형의 통계
시간별 통계
위협 탐지 현황 요약
직관적 실시간 현황
대쉬보드
한눈에 공격 상황을 파악하고
적절하고 민첩하게 대응할 수
있도록 가이드.
- 15

Cybereason EDR 주요 기능 – Malop 확인
공격 유형
근본원인
감염된 단말 정보
공격 단계(위험도)
동일한 형태의 공격 그룹화
실행되고 있는 공격의 목록을
확인하고 빠르고 적절하게 대응.
- 16

Cybereason EDR 주요 기능 – Malop 세부 내용 확인
한번의 클릭으로 바로 대응조치 지원
근본 원인을 확인
영향을 받는 기기와 사용자 정보 확인
관련된 악성 통신 분석
사용된 악성 도구 파악
공격 타임라인
분석/탐지 결과 자동 그래픽화
각각의 세부 항목을 클릭하여 상세한
정보를 드릴다운 형태로 조회 및 확인.
- 17

Cybereason EDR 주요 기능 – 대응 및 조치
개별 또는 복수의 엔드포인트에 한번 클릭으로 대응
네트워크에서
엔드포인트를 격리
(통신 허용 예외 지원)
프로세스 중지(Kill Process)
파일 격리(Quarantine Process)
레지스트리 삭제(Remove Registry)
프로세스 실행 방지(Prevention)
- 18

Cybereason EDR 주요 기능 – 상세 분석
분석 조건을 선택 또는 쿼리 작성, 자주 사용하는 쿼리 저장 기능
Cybereason이 제공하는 다양한 조건중에
원하는 조건 선택을 통한 상세 내용 조회.
조건을 수동으로 입력하고 조회도 가능
또한 RestAPI 제공으로 쿼리 작성 후 웹 호출을
통하여 결과 회신 기능 지원.
- 19

Cybereason EDR 주요 기능 – File 검색
전체 엔드포인트에서 파일 검색
- 20
권한별 접근, 검색 기록 로깅,
파일명 또는 와일드문자(*)기반 검색,
Offline 센서 3일 동안 자동 시도,
3일간 탐색 내용 보관,
파일명/호스트이름/경로/사이즈/생성
및 수정 날짜 정보,
파일 다운로드
디렉토리 조회

Cybereason NGAV
차세대 안티바이러스
- 21

Cybereason NGAV - 탁월한 차세대 안티바이러스
알려지지 않은 악성 코드, 알려진 악성 코드, 랜섬웨어,
PowerShell(Fileless) 악성 코드 등 기업 · 조직에 매우 많은 종류의
위협이 있지만, 지금까지 그들 모두에 대응할 수 있는 안티바이러스
솔루션은 존재 하지 않았습니다.
엔드포인트에서의 방어를 고려할 때 매우 많은 종류의 위협이 있다는
것을 깨닫고 모든 유형의 악성 코드를 탐지 할 수 있는 솔루션을
검토해야 합니다.
Cybereason의 차세대 안티바이러스(NGAV)는 모든 유형의 악성
코드에 대해 대응할 수 있는 안티바이러스 솔루션을 EDR과 단일
에이전트 (센서)에서 제공합니다.
기존에 알려진 악성 코드 및 알려지지 않은 새로운 악성 코드 등을 미연에 방지하고 운영자의 분석 작업에 효율성을 제공.
- 22

Cybereason NGAV – 4가지 주요 특징
알려지지 않은 Malware:
인공지능(머신러닝)
랜섬웨어:
행동 분석
Fileless 위협:
행동 분석
알려진
Malware:
바이러스
정의파일
NGAV
주요기능
ü 인공지능(AI)에 의한 알려지지 않은 악성 프로그램 방지
머신러닝 알고리즘(AI)을 통해 바이러스 정의 파일(시그니쳐)에서 감지 할 수 없는
알려지지 않은 악성 코드를 최고의 탐지률과 가장 낮은 오탐률로 감지/차단.
ü 랜섬웨어 방지
행동 분석을 통하여 파일이 암호화되기 전에 알 수 없는 랜섬웨어,
Fileless 랜섬웨어, MBR 기반 랜섬웨어를 탐지 · 차단.
ü 악성 PowerShell 스크립트(Fileless) 방지
Powershell 등 OS의 정규 도구를 사용하는 Fileless 악성 코드에 의한 공격을
사전에 탐지/차단.
ü 알려진 악성 코드의 효율적인 검색
이미 알려진 악성 코드는 기존의 바이러스 정의 파일(시그니쳐)을 이용하여
효율적으로 탐지/차단.
- 23

Cybereason NGAV – 악성코드의 실제 행동 방지
보안 담당자의 작업 부담을
줄여주는 자동 탐지 및 조치
Need your attention
이 영역은 NGAV가 탐지했지만 자동으로 치료/예방
할 수 없는 Malware를 보여줍니다.
추가 분석(Investigation)을 통하여 조치 기능 지원.
Completed
이 영역에는 NGAV가 치료 또는 예방했거나 완료로
표시한 Malware 목록이 표시됩니다.
- 24

Cybereason NGAV – 랜섬웨어 방지
Deception(미끼) 기법에 의한 감지
단말기에 미끼 파일을 숨겨놓고 그 미끼
파일이 암호화된 것을 트리거하여 감지.
알려지거나 알려지지 않은
랜섬웨어 감지
행동 분석을 통한 감지
Cybereason 연구소에서 30,000건의 이상의
사례를 분석하여 42개의 랜섬웨어 군으로
분류된 행동을 특정하여 감지.
- 지속적인 업그레이드
네트워크를 통하여 피해 확대
이전에 알려지지 않은
랜섬웨어도 감지 및 중지
알려진 랜섬웨어 및 알려지지 않은 랜섬웨어를 두 가지 방법으로 감지
- 25

Cybereason NGAV – Fileless 악성 코드 방지
최근 Fileless 악성 코드 공격이 증가하고 SANS 2017 Threat Landscape Survey에 따르면, 기업의 3
분의 1은 Fileless 악성 공격에 직면하고 있다는 결과도 나와 있습니다.
기존의 악성 코드에 의한 공격과는 달리, 이러한 악의적인 작업은 공격자가 대상 컴퓨터에
소프트웨어를 설치할 필요가 없습니다. 대신 Windows에 내장되어 있는 일반 응용 프로그램 및 IT
도구, 특히 PowerShell을 악용하고 있습니다.
Fileless Malware가 스캔 할 대상 바이너리가 없고 기본적으로 신뢰할 수 있는 정규 도구를
악용하고 있기 때문에 감지하고 방지하는 것이 특히 어렵습니다.
Cybereason Fileless 악성 코드 방지 기능의 작동 원리는?
단순히 스크립트나 명령 줄을 보는 것이 아니라 Powershell 엔진에서 실행되는 코드에 의해
수행되는 모든 작업을 보기 위해 프로세스 수준의 행동뿐만 아니라 더 깊은 코드 수준의 행동을
분석 할 수 있습니다.
Fileless 악성 코드 방지 기능의 특징
ü 모든 종류의 난독 스크립트 탐지(Mimicat등)
ü 모든 버전 PowerShell 지원 (버전 2 포함)
ü 명령 줄 대화 스크립트, System.Management.Automation.dll
로드 등 모든 방법의 호출 방법에 대응
- 26

Cybereason NGAV – Fileless 악성 코드 방지 - 상세
- 27
다양한 Fileless 공격 탐지
다운로드 PowerShell,
악성 사이트의 PowerShell등...

- 제품 구성-
Cybereason Platform Architecture

Cybereason Platform Architecture – 상세 구성
Sensor
Detection Servers
User Interface
Registration Server
(Option)
WebApp Server
Global Threat
Intel Server
Update Server
Private Threat
Intel Server
고객사 전용 Cloud
또는 On-Promise
공용 Cloud
ü Sensor
설치된 호스트에서 분석을 위한 로그
수집 후 Detection Server에게 전송.
ü Registration Server
Sensor를 Detection Server에 할당.
ü Detection Server
위협(Malops & Malwares) 탐지 및 조치.
ü Update Server
보안 패치 및 업데이트.
ü Global Threat Intel Server
ü Private Threat Intel Server
악성파일, IP, 도메인 등의 평판제공
ü WebApp Server
위협 정보 확인 및 관리를 위한 웹 인터페이스
- 29

Cybereason Sensor Architecture – 상세 구성
Detection
Logic
Update
Anti-Malware Engine
On Access Scan
Sensor Services
파일, 프로세스 및 기타 보안
관련 이벤트 등에 대한
데이터를 수집.
이 데이터를 분석 및 탐지를
위해 Detection Server로
전송. Anti-Malware
Service에서 생성된
탐지/분석 정보를 받아서
Detection Server로 전송.
디스크에서 파일을 실행하면
실행 방지 드라이버가 파일
을 안전하게 열 수 있는지
여부를 결정하는 Execution
Prevention Service를 호출!
Detection Server
Anti-Malware
Driver
Anti-Malware
Service
EDR
Execution Prevention
Driver
File Access from Disk
Kernel 영역 User 영역
Sensor
새 파일이 생성되거나
프로세스가 디스크의 파일에
액세스 하려고 하면 Anti-
Malware Engine을 호출하여
On Access Scan을 시작!
Execution Prevention
Service
Artificial Intelligence
Scanner
Application Control
Scanner
Anti-Ransomware
Service
- 30

Cybereason 단일 Sensor – 추가 기능 선택 및 엔드포인트 관리
- 31
다양한 조건 검색으로
손쉬운 운영
최초 인스톨후 선택 사용
(기능, 대상 호스트 선택적 사용)
직관적인 엔드포인트
센서 현황

Cybereason Sensor – 지원 운영 체제
Windows Mac Linux
• Windows XP SP3 (limited support)
• Windows Vista (limited support)
• Windows 7 SP1
• Windows 8
• Windows 8.1
• Windows 10
• Windows Server 2003 (limited support)
• Windows Server 2008 (limited support)
• Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2012 R2
• Windows Server 2016
• OS X Yosemite (10.10)
• OS X El Capitan (10.11)
• OS X Sierra (10.12)
• OS High Sierra (10.13)
• CentOS 6 and 7
• Red Hat Enterprise Linux 6 and 7
• Oracle Linux 6 and 7
• Ubuntu 14 LTS and 16 LTS
• Amazon Linux AMI 2017.03
- 32

Cybereason Sensor – OS별 대응 및 조치 기능
기능 Windows XP SP3
Server 2003
Windows Vista
Server 2008
Windows 7 SP1
8, 8.1, 10
Server 2008 R2
Server 2012
Server 2012 R2
Server 2016
Mac Linux
레지스트리 삭제
Remove Registry
● ● ●
프로세스 중지
Kill Process
● ● ● ● ●
파일/프로세스 격리
Quarantine Process
● ● ● ● ●
Autorun 삭제
Delete Autorun
● ● ●
실행 방지
Prevent Execution
●
호스트 격리
Isolate Machine
● ● ● ●
Suspend / unsuspend
Ransomware
●
Malware Alert 관리 ●
- 33

Cybereason Sensor – 설치 요구 사양 및 리소스 사용량
항목 요구사양
CPU Dual Core 2Ghz core i3 이상
Memory 1GB 이상
Disk 150 MB 이상
Network Connection Ethernet 또는 Wi-Fi
항목 요구사양
CPU Dual Core 2Ghz core i3 이상
Memory 2GB 이상
Disk 1.5 GB 이상
Network Connection Ethernet 또는 Wi-Fi
ü No NGAV ü NGAV Enabled ( Windows only )
ü 5% 이하의 CPU 사용률!
ü 호스트 당 5M ~ 10M data
ü No Crashes!
ü No user impact!
엔드포인트 수 네트워크 사용량(Mbps)
100 0.23 Mbps
1000 2.26 Mbps
10K 23 Mbps
50K 114 Mbps
100K 229 Mbps
ü Network 사용량
- 34

Q & A
Thank you!

Cybereason in Korea, SMEC

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Cybereason in Korea, SMEC

Similar to Cybereason in Korea, SMEC (20)

Cybereason in Korea, SMEC